Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Android-Sicherheitslücke: App-Entwickler schlampen bei der Sicherheit

Einige Android-Entwickler haben es mit der Sicherheit nicht so genau genommen und gefährden so Daten von Millionen App-Nutzern. Zu diesem Schluss kommen deutsche IT-Forscher nach einer Analyse von 13.500 beliebten kostenlosen Android-Apps.

Android (Symbolbild): Bis zu 185 Millionen Kunden könnten von der Lücke betroffen sein Zur Großansicht
REUTERS

Android (Symbolbild): Bis zu 185 Millionen Kunden könnten von der Lücke betroffen sein

In acht Prozent von insgesamt 13.500 untersuchten Apps fanden die Forscher der Uni Hannover und Uni Marburg bedenkliche Lücken im Umgang mit Sicherheitszertifikaten (PDF-Datei, 1,2 MB). Unter den 100 erfolgreichsten dieser Apps konnten sie in 41 Fällen die Machbarkeit eines besonders effektiven Hack-Angriffs nachweisen: dem sogenannten Man-in-the-Middle-Angriff. Dabei schaltet sich ein Hacker in die Kommunikation zwischen Smartphone und Internet-Server und kann unbemerkt Daten abhören und manipulieren.

Das gelang, weil viele Apps blind jedem Sicherheitszertifikat vertrauen, das man ihnen als angeblichen Sicherheitsausweis vorhält. Eine Nachlässigkeit der App-Entwickler, durch die sensible Kundendaten in Gefahr geraten.

In ihrem Testfall erbeuteten die Uni-Hacker so Kreditkarten- und Kontodaten, Zugangsdaten für Paypal, Facebook, E-Mail- und Chat-Dienste. Sie manipulierten etwa installierte Antivirus-Programme und schmuggelten eigenen Schadcode auf das Smartphone. Ob aber tatsächlich schon Hacker durch diese Sicherheitslücken gedrungen sind, ist nicht bekannt.

Die Sicherheitslücken in den manuell untersuchten Apps seien mittlerweile auch behoben, melden die Forscher. Grundsätzlich sei Nutzern zu empfehlen, auf die Nutzung von unsicheren W-Lan-Netzen zu verzichten. Grundsätzlich gilt: Wer mit seinem Handy in offenen W-Lan-Anwendungen surft und sensible Daten austauscht, geht damit ein Risiko ein.

Von der untersuchten Sicherheitslücke dürften laut der Wissenschaftler zwischen 39,5 und 185 Millionen Android-Kunden betroffen sein; dazu zählen auch die "10 bis 50 Millionen Kunden" eines "sehr bekannten plattformübergreifenden Messaging-Dienstes". Konkrete Apps werden aber nicht genannt.

App-Entwickler müssten laut der Untersuchung gar nicht so viel tun, um ihre Kunden besser zu schützen: Warnhinweise bei potentiell unsicheren Internetverbindungen, ein maschinelles Misstrauen gegen angeblich vertrauenswürdige Sicherheitszertifikate und grundsätzlich verschlüsselte Datenleitungen dürften die meisten dieser Angriffe vereiteln.

Vor allem aber müsste Aufklärungsarbeit bei den App-Entwicklern geleistet werden: "Wir brauchen eine bessere Ausbildung und einfachere Werkzeuge, um sicherer und einfacher Android-Apps entwickeln zu können", so die Forscher. Offenbar ist die Entwicklung sicherer Apps und damit der Schutz von Privatsphäre, Daten und des Eigentums der eigenen Kunden noch lange keine Selbstverständlichkeit.

fkn

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 25 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. da muss ich doch schmunzeln
kalle122 22.10.2012
"Wir brauchen eine bessere Ausbildung und einfachere Werkzeuge, ..." - das ist nett, finanziert sich ein Uni-Forscher doch entweder durch Lehre oder durch Auftragsforschung (in der gerne Tools gebaut werden). Aber es ist sicher richtig, MITM ist in WLAN-Netzen viel leichter möglich und hier ist offensichtlich ein gefährliches Sicherheitsloch-Muster entdeckt worden. Wobei es doch eher so klingt, als sei das grundlegende Problem in der verwendeten Netzwerkbibliothek zu suchen - und die kommt von den grossen Firmen, vermutlich Google oder Oracle.
2. Keine Software ist sicher.
HansD 22.10.2012
Egal wie ausgeklügelt die Sicherheitsarchitektur einer Software/Systems etc ist, das größte Sicherheitsrisiko ist nach wie vor der Anwender. Außerdem, wer bitte ist so blöd und surft mit einem Smartphone in öffentlichen WLANs? Wenn man schon ein Smartphone hat, hat man bestimmt eine Datenflat.
3. aha
TeslaTraX 22.10.2012
Wer in einem fremden WLAN ist hat das Risiko auch mit seinem Notebook. Das hat ja nichts mit dem benutzten Gerät zu tun, sondern liegt daran das nicht verschlüsselt wird.
4.
Palland 22.10.2012
"Offenbar ist die Entwicklung sicherer Apps und damit der Schutz der Privatsphäre, Daten und des Eigentums der eigenen Kunden noch lange keine Selbstverständlichkeit." Was erwartet man denn. Da hat man eine Plattform deren Offenheit immer gepriesen wird und für die wirklich jeder Software entwickeln darf und dann erwartet man perfekte Sicherheit? Das ist doch naiv. Wer Freiheit und Offenheit haben möchte, muss mit den Risiken leben und eben etwas mehr Gehirnschmalz investieren, um nicht in Sicherheitsfallen zu tappen. Die Masse der Smartphone-User (egal welches System) nutzt die Teile aber sehr bedenkenlos und lädt sich runter was irgendwie interessant klingt. Das erinnert mich an die frühe DOS-/Windows-Zeit. Da hat es auch einen Lernprozess gebraucht. Heute ist es für die meisten selbstverständlich entsprechende Sicherheitssoftware zu installieren. Viele erkennen aber heute noch nicht, dass Smartphones eben auch Computer sind und Begehrlichkeiten wecken. So viel zum Thema"wer Ahnung von Computern hat nutzt Android". Das Problem sitzt in Form von Naivität eben auch hier vor dem Smartphone.
5.
Ambermoon 22.10.2012
Zitat von HansDEgal wie ausgeklügelt die Sicherheitsarchitektur einer Software/Systems etc ist, das größte Sicherheitsrisiko ist nach wie vor der Anwender. Außerdem, wer bitte ist so blöd und surft mit einem Smartphone in öffentlichen WLANs? Wenn man schon ein Smartphone hat, hat man bestimmt eine Datenflat.
Ich, und danke für das Kompliment, ich finde Sie auch scheiße. "Datenflat" steht drauf, Volumentarif ist drin - im Regelfalls wird ab X GB Datenvolumen gedrosselt, und zwar gründlich. Ein öffentliches WLAN auf dem Flughafen ist da eine willkommene Saughilfe, wenn auch ein ungutes Gefühl bleibt. Im Hotel ist's dann wenigstens passwortgeschützt.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
SPIEGEL.TV
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: